Xstream是一种OXMapping技术,是用来处理XML文件序列化的框架,将Java对象序列化为XML或将XML反序列化为Java对象 XStream框架的反序列化漏洞在于其支持的某些转换器(如DynamicProxyConverter)允许攻击者通过构造包含特殊标签(如dynamic-proxy标签)的恶意XML,并通过handler标签指向可执行任意代码的类或对象,从而在反序列化过程中触发任意代码执行
Xstream是一种OXMapping技术,是用来处理XML文件序列化的框架,将Java对象序列化为XML或将XML反序列化为Java对象
XStream框架的反序列化漏洞在于其支持的某些转换器(如DynamicProxyConverter)允许攻击者通过构造包含特殊标签(如dynamic-proxy标签)的恶意XML,并通过handler标签指向可执行任意代码的类或对象,从而在反序列化过程中触发任意代码执行
点击跳转后需要自行构造触发payload Run
点击跳转后需要自行构造触发payload
黑名单过滤 Run
黑名单过滤
白名单过滤 Run
白名单过滤
安全编码规范: 1、升级方案:升级Xstream组件到1.4.17或最新版本 2、非升级修复:1.4.10后可启动默认安全配置 setupDefaultSecurity()